[uylug-varios] uylug.org.uy hackeado

Eduardo Trápani etrapani at unesco.org.uy
Sun Jan 1 17:01:30 PST 2012


> Lo que me llama la atención es que han sido atacados varios de los
> sitios de software libre en unos pocos meses
>
> ubuntu.org.uy Hace unos meses, pero borramos todo y empezamos de cero.
> http://montevideolibre.org Recuperada
> http://ceibaljam.org/ Aún sigue Site off-line
> uylug.org.uy
> ¿otra que conozcan?
>
> Nos estamos volviendo un blanco de ataque o es pura coincidencia?

Hay varios factores.  El hosting para empezar es uno.  Por ejemplo 
Dreamhost ya ha tenido problemas, si le entran a ellos, todos los sitios 
que están alojados ahí están en riesgo.  Y eso es mucha gente que cae 
con ellos.  Montevideo Libre parece estar ahí.  Ceibal Jam está en 
BlueHost, que también ha tenido problemas.  En los casos que recuerdo 
todo apuntaba a cPanel.

Hay un factor humano.  ¿Quién se encarga de la seguridad en cierto tipo 
de sitios?  En organizaciones de voluntarios, no centralizadas sin 
personal o presupuesto fijo, las actualizaciones de seguridad o no se 
hacen o se hacen esporádicamente.  Eso engloba a bastante de los grupos 
de software libre, activistas, etc. y no me extraña que los exponga un 
poco más.  Si alguien usa Joomla, miren esto[1].  Y eso son sólo los 
listados de "core", para "core" y módulos parece estar esto otro[2]. 
¿Quién actualiza a diario o semanalmente o sigue estas cosas?  O dicho 
de otro modo, ¿cuántos instalan un software y como andan lo dejan así? 
Es cuestión de tiempo para que los CMS abandonados, sobre todo los más 
populares, sean hackeados.  Y ojo, todavía lo hacen de manera medio 
evidente, pero un backend en envío de spam puede llevar un bueeeen 
tiempo para saltar.  Capaz que mientras tanto uno festejas las visitas y 
todo.

Y por último hay algo que yo insisto en que no hay que hacer, pero que 
se hace igual todo el tiempo.  Responder *mal*.  O sea, encuentro que me 
hackearon y en lugar de publicar la información forense que tenga, por 
poca que sea, salir de línea, etc. la respuesta más común es algo del 
tipo "hubo un problema, ya lo arreglé".  Con ese tipo de resoluciones 
nos quedamos sin saber algo del vector de entrada o del posible impacto. 
  Seguimos igual de expuestos que antes.

Ojo, no todos hacen eso.  Debian por ejemplo, por su propia 
constitución, está obligada a "no ocultar problemas" y te dice qué pasó 
y cómo lo arreglaron[3][4].  Está bueno.  Pueden quedar pegados, pero 
uno se siente más tranquilo.  Si todos hicieran lo mismo, aprenderíamos 
más y estaríamos más seguros.  Pero me parece que en general la solución 
es limpiar o reinstalar y listo.  Y si se puede hacer todo eso en 
silencio ... mejor :(.

¿Qué harían ustedes con los usuarios de un sitio que están administrando 
si mañana descubren que los hackearon?  Es para contestarse a sí mismo. 
  Creo que por ahí pasa buena parte de la historia.

Eduardo.

[1] http://developer.joomla.org/security/news/
[2] http://joomlaexploit.com/
[3] http://www.debian.org/News/2006/20060713
[4] http://lists.debian.org/debian-devel-announce/2003/11/msg00012.html


More information about the Uylug-varios mailing list